|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]
# x# _( k8 V( X* B8 W6 u) e+ B3 Z* _* O# E; {3 \! ?$ {2 x
信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )
5 I% T/ T' B9 |# _$ n9 O! |
( h" @+ `( C6 W' K# p来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。) I/ a+ ^. u1 F" B
; _$ o3 B- E$ j8 Q免杀也弄了有点时间了。。现在分享下我的经验。
5 w! u% E, j7 }% J6 B0 V- O, h$ v" L- b" S2 }
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)% C; d9 ]* ?$ @8 d1 g
# D/ a1 _5 j% M6 S$ ?修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。6 H9 `9 W; x" f( ]4 P
! b0 @/ w, d! P9 F8 e
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
6 L; m' n) A: T F' _7 c S6 p2 r9 m. u5 ?+ i7 D) f
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。8 j; B+ a# v% M6 `9 m( D, A
* y4 G- u/ O7 F2 r$ z7 y W, o很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,9 P8 L2 T# u- z' @ H4 y
0 G7 B* U0 r7 i5 o其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。! m- [ b: ]( {+ v
. b- }/ T, \3 Y& c n( G, [1 Q顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
7 f' ~4 h" f' y1 l3 l4 d- D) @4 T8 ~ g
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
& Y* }# ~: Z# x3 n* P2 l
' X9 O/ s! C" D/ A+ z: p! h" V2 _对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,4 s- J1 h. n q; M: G; \
( a' ^' y9 |# v) b: \ }' V4 O对了,花指令对瑞星不是很管用。
2 S- Y9 Y, u7 b! ]8 H0 q
2 V4 ~1 F3 |5 a/ B
* Z$ Y. d. v+ y& c, t% x% y做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
: [+ a7 Y- W$ e
5 o! X2 M' w) u/ x w我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
3 r* |0 ]+ S" z- C6 g" _' i. n- P$ _4 w; F) _
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。+ E5 z) {" p+ i, X
- F# T2 o: H6 w) N: z4 j输入表的免杀是非常重要的一课。 7 ]/ ^9 z! a2 R% I1 m# C
* a4 k0 @; f; A+ m常见方法 有移位法。上下互换法。以及重建输入表法。
; M, m- Z P5 E5 V K. N2 D8 e. ~! E
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。7 M/ N: l! {' V. ]# F8 V. ~
5 C- u$ W+ u# L u2 o! w
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
* p, o- O/ B( D$ h+ M. z$ c
6 A; K* J O( A5 Z重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。: z4 T9 L) {5 g3 {
9 Y! C* X% P8 B1 ~
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
- x* T2 O6 ~5 F+ i7 v L9 f
! D+ m2 [* q7 S* A这样免杀的效果不错。。。
1 _2 h6 @, t' E
/ F0 @+ V& V" C- D" n关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。) X$ e: \4 w3 T8 b1 X) F u
$ c! |: }1 E5 y, ^' B什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
# f: f: S) D, v: L% _# ^
1 X# |3 ^8 O0 C2 s" ^大家多多了解下, 免杀不是很难的事。。
* u' p* ?' Q1 I$ g' `
) u# o! n) i8 ~此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
发表于 2009-2-16 22:44
| 
